A vállalat módosítja és kiszélesíti jelenleg is futó hibavadász programjait, amelyek már a felhasználói adatokkal való visszaélések bejelentéséért is hsonló díjakat fizetnek majd, mint a kódokban talált sérülékenységek azonosításáért.

A Google ismét rákapcsol egy fokozattal az Amdroid rendszert érintő hibavadász programokra, ami ezúttal már nem csak a vállalat saját alkalmazásaiban feltárt hézagok foltozgatását, de a harmadik fél által fejlesztett szoftverek sérülékenységeinek feltárását is célozza. Ez a Google Play Security Reward Program (GPSRP) kiterjesztése kapcsán azt jelenti, hogy a vállalat a legalább 100 millió telepítést jegyző androidos appok esetében is fizet a bugok felfedezőinek, és még akkor is állja a cechet, ha a programok eredeti feljesztője nem gondoz saját bug bounty kezdeményezéseket. A Google ilyen esetekben azt is vállalja, hogy segítséget nyújt a fejlesztőknek a sebezhetőségek javításához.

A GPSRP jelentőségét egyébként nem csak a konkrét hibák azonosítása adja, hanem az is, hogy a sérülékenységekről gyűjtött információk segítenek az olyan automatizált ellenőrzések lefolytatásában, amelyek során a play áruházban szereplő összes alkalmazást megvizsgálnak az adott típusú sebezhetőség után kutatva. Mindez egy másik program, a több mint öt évvel ezelőtt indított App Security Improvement (ASI) keretei között már több mint 300 ezer fejlesztő több mint 1 millió apllikációjában járult hozzá a kisebb-nagyobb hibák javításához.

A Google egyik hivatalos blogján tegnap közzétett bejegyzés szerint ez egyedül az elmúlt évbe azt jelentette, hogy 75 ezer bugos alkalmazást tettek rendbe, mielőtt azokat a felhasználók egyáltalán telepíthették volna az eszközeikre. Az oldalon közölt adatok szerint egyébként a GPSRP program keretei között a társaság eddig 265 ezer dollárt fizetett ki a sebezhetőségeket feltáró külső szakembereknek, az egyes jutalmak összegének emelkedését pedig jól jelzi, hogy ebből 75 ezret az elmúlt néhány hónapban ítéltek oda a bugvadászoknak.

Ahogy már korábban is beszámoltunk róla, az ASI programban tippekkel és ajánlásokkal látják el az androidos alkalmazások készítőit, azonosítva a szoftverek olyan pontjait is, amelyek akár tényleges, akár potenciális biztonsági problémát jelentenek. A Google a javítások egy részére határidőt is szab, máskor következmények nélkül figyelmeztet. A sérülékenységeket ctípusokba és kategóriákba sorolják, valamilyen könyvtárhoz vagy általánosabb validációs problémákhoz kapcsolva azokat. Maguk az appok nem csak a Play áruházba való felvételüket megelőzően esnek át az eljáráson, de a korábban már elfogadott alkalmazásokat is rendszeresen újra szkennelik az eltelt időben felfedezett újabb hibák után kutatva.

Egyre többen keresnek egyre többféle problémát

Egy másik friss bejelentés a Developer Data Protection Reward Program (DDPRP) elindításáról szól, amelynek célja, hogy ugyancsak pénzjutalommal ösztönözzék, ha valaki lerántja a leplet egy-egy alkalmazás rosszindulatú viselkedéséről. Itt nem a fenti, technikai jellegű hibákra kell gondolni, hanem olyasmire, mint amikor az androidos appok, az OAuth projektek vagy a Chrome kiterjesztések szabálytalanul, esetleg visszaélésszerűen gyűjtik és használják a felhasználói adatokat, megsértve a Google Play, a Google API vagy a Google Chrome Web Store Extensions szerződési feltételeit.

Bár a kifizetéseknek ebben az esetben sincs elvi maximuma, a Google azt közölte, hogy az egyetlen bejelentésért adott legmagasabb díjak akár az 50 ezer dollárt is elérhetik majd. A kezdeményezés máskülönben nagyon hasonlóan működik a Google többi hibavadász programjához, a cél viszont ebben az esetben kifejezetten az olyan szituációk azonosítása, amikor felmerül a adatok tájékoztatás nélküli használata vagy értékesítése, illetve az adatok felhasználási módjának anélkül való megváltoztatása, hogy ahhoz aktív beleegyezést szereztek volna.

A programot a HackerOne bevonásával menedzselik, ahol várhatóan még ugyanezen a héten közzéteszik a pontos részleteket. A hibavadász platform a maga részéről nemrég jelentette be, hogy megvannak az első olyan tagjai, akik több mint egymillió dollárt kerestek a bugok feltárásával. Egyelőre hat ilyen személyről van szó, a HackerOne-on keresztül pedig összességében 21 millió dollárnak megfelelő díjakkat fizettek ki az előző év során – ezzel a 2018-as összeg több mint kétszerese lett az előző évinek. A Hackerone várakozásai szerint az így megkeresett díjak egészében véve a 100 millió dollárt is elérik 2020 végéig, a platform pedig több mint egymillió etikus hekkert tarthat nyilván a feliratkozói között.

Biztonság

Bekeményítenek az internetes óriások az új hongkongi törvény miatt

A különleges státuszt élvező kínai régióban múlt héten lépett életbe az új törvény, amely komoly büntetéssel fenyegeti az "államellenes terroristákat" és a kormányzati adatkéréseket megtagadó internetes cégeket.
 
Már Budapesten is van olyan előadás, amit wifihálózat és mobiltelefon segítségével tettek interaktívvá.

a melléklet támogatója a TP-Link Magyarország

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.